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Die Vorsitzende begrüßt die Teilnehmer zur au- 
ßerordenüichon Beratung der IuK-Kommission. 
Aus persönlichen Gründen soi es nicht möglich 
gewesen, vor der heutigen Beratung eine Bespre¬ 
chung der Obleute einzuberufen. Dio Vorsitzende 
führt kurz in don Sachverhalt des Angriffes 3 uf 
dio Informationntechnik des Doutschen Bundesta¬ 
ges ein und übergibt zur Darstellung der Sicht der 
ßnndestögsverwaltung Herrn Möhlmann (RL IT 5) 
das Wort. 



Tagesordnungspunkt 1 

Bericht des B$hPräsidenten, Herrn Hange, zum 
Angriff auf die TT des Deutschen Bundestages 

Herr Möhlmann (RI IT 5) erläutert, doss om 
0.5.2015 im Rohmen der normalen Betriebsüber¬ 
wachung feslgestcllt worden aei. dass zwischen 
Servcrsystemon nicht übliche Kommunikation 
statlgefunden habe. Konkret sei ein Server der Bun¬ 
destagsverwaltung in einem Festplattenbereich mit 
einer ungewöhnlichen Menge an Daten überlastet 
worden. In einer darauf folgenden Analyse der 
Konirnunikölionshoziehungen sei festgostellt wor¬ 
den. dass zu diesem Server nicht vorgesehene Ver¬ 
bindungen von einem Abgeordnetenbüro bestan¬ 
den hoben. Herr Möhlmann (KL IT 5) weist darauf 
hin, dass es sich zunächst um Untersuchungen itn 
Rahmen des Alltäglichen gehandelt habe, da im 
Haus häufiger Trojaner und Viren gofunden und 
dann nach fesigelegton Regeln beseitigt würden. 
Doher seien kurzfristig die betroffenen Rechner 
ausgetauscht und durch neue Rechner ersetzt wor¬ 
den. In der weiteren Analyso sei ermittelt worden, 
dass von den Rechnern dos Abgeordnetenbüros zu¬ 
sätzlich eine Verbindung zu einem Server einer 
Fraktion bestanden habe. Herr Möhlmann (RL IT 
5) führt aus, dass in Zusammenarbeit mit der be¬ 
troffenen Fraktion weiter festgestellt worden soi, 
dass auf diesen Server auch von einem Rechner ei¬ 
nes Abgeordnetonbüros der eigenen Fraktion ein 
Zugriff in unüblicher Form ßlattgefunden habe. 

Im weiteren Verlauf der Überprüfung sei dann fest- 
gestellt worden, daes Accounts von Administrato¬ 
ren - ohne Wissen der Accountinhober - genutzt 
worden soien. 

Herr Möhlmann (RL IT 5) teilt mit, dass sich am 
12 f> 2015 das Bundesamt für Verfassungsschutz 
(üßü mit der Geheimschutzstelle (ZR 4) der Bun- 
dostagsverwaltung in Verbindung gosolzt habe. Doe 
Referat ZR 4 habe daraufhin das Referat für IT-Si- 
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cherheil (IT 5) kontaktiert, ln einem anschließen¬ 
den Telefonat sei durch einen Mitarbeiter des BfV 
jnitgeteilt worden, dass zwei Rechner aus dom 
Bundestag Kontakt zu - als potentiell gefährlich 
geltenden - Serversystomcn im Internet gehabt ha¬ 
ben und das BSI darüber in Kenntnis gesetzt wor¬ 
den sei. Es sei weiterhin durch die BTV festgestellt 
worden, dass diese gemeldeten Rechner identisch 
gewesen seien mit zuvor im Heus auffällig gewor¬ 
denen PCs. Ob der Dimension des vermuteten An¬ 
griffes sei dos Bundesamt für Sicherheit in der ln- 
formotionstechnik (BSI) um Hilfe ersucht worden. 

Am ^5^20l5^seien zusammen mit dern BSI um* 
fangreiche Analysetätigkeiten begonnen worden 
Die Vorsitzende übergibt Herrn Hange (BSI) das 
Wort. 

[ Herr Hange (BSI) bemerkt, dass aus technischer 
Sicht Cyberangriffo aktuell keine Besonderheit 
seien, sich jedoch stark in der Qualität unterschie¬ 
den. 

Er berichtet von ca . 3nnn A ngriffen auf das Regie- BSI reports 3K 
nmgsnetz, von denen co . 5 bis 10 von einer zum „etwo^L^oniy 
beobachteten Angriff vergleichbaren Qualität s to io of 0 Y 
seien. Aur. Erfahrung des BSI seien ouch sehr viele com P arable 
Firmen von regelmäßigen Angriffen in vergleicht- quallty 
retri Ausmaß betroffen. Die Auswertungen haben 
bislang ergeben, dass es dem Angreifer gelungen 
sei. Administrationsrechte für die gesamte Infra¬ 
struktur zu erhalten. Daher soi von einer breiten 
Kompromittierung der Netzinfrostruktur mit 
höcJtstmÖglichon Rechten auszugehen. Hinweisen 
auf die gozielte Verwendung eines hoch-qualifi¬ 
zierten Anwendungsprogramms werde aktuell 
noch nachgogongen. Man befeinde sich im Moment The analysis of 


in der ersten Phase der technischen Analyse. Nach 
Beurteilung der Lage hätten ab Semstog, dom 
16 05.2015 insgesamt drei Mitarbeiter des BSI und 
zwoi Mitarbeiterin Pr px temen Firma , mit der das 
BSI seit Längerem zusaromenarbeitc, die Analysn- 
tätigkeit aufgenbmmen. Ceröde die erste Phase ei¬ 
ner Ermittlung sei wichtig, da der Täter meist noch 
nicht erahne, dass man ihm auf der Spur soi. Ziel 
dieser Phase soi es. möglichst viele Nachweise zu 
finden, um das Angriffs must er zu orkennen. Durch 
die Besonderheit der Netzinfroslruktur des Bun¬ 
destages sei eine enge Zusammenarbeit mit den IT- 
Expcrtcn der Verwaltung unabdingbar. 

Herr Hange (BSI) woist auf fehlerhafte Pressemel¬ 
dungen hin, nach denen cs sich um einen DDoS- 
Angriff handeln solle. Auch gäbe es keinerlei kon¬ 
krete Hinweise darauf, dass Daten des NSA-Unter 
euchungsausschusses abgeflossen saien. Er betont 
jedoch, dass man dieses zurzeit aber auch nicht 


the current 
breach started 
oM 16 May. 3 BSI 
/ sJaff and 2 
arontractors from 
4 h* "external 
Company" worked 
on the case. The 
Company played a 
key role, it 
seems, but is 
not named in 
this report. Why 
is unclear. 


Correction: -The 
Company is BFK 
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GmbH, see below. 
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thanks 
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ousschlioßen könne. Durch die Tatsache, dass man 
um fjiternet teilhöbe, seien Informationsflüsse noch 
außen nicht grundsätzlich auszuschließen. Zu be¬ 
obachten sei bislang ein unterbundener Versuch ei¬ 
nes Informationsabflusses. 

ln Zusammenarbeit mit der IT des Bundestages 
seien nun folgende Maßnahmen ergriffen worden: 
Zunächst würden möglichst viele Intcrnetzugriffe 
über den IVßO geleitet, in dein ein Mechanismus 
gTcife, welcher ca. 100.000 Server und Netze als po¬ 
tentiell gefährlich kenne und den Zugriff darauf 
blocke. Die eingangs genannten Zielservor seien in 
diesem Filter bereits bokannl gewesen. Somit 
könno in einem orston Schritt verhindert werden, 
doss dorthin weitere Daten abflössen. Der Zugriff 
auf die als kritisch bekannten Seiten werde hierbei 
blockiert. 

Herr Hange (BSI) berichtet, dass im woiteien 
Schritt Logdaten analysiert und die Protokollie- 
rungsdauor in Abstimmung mit dom Bundestag er¬ 
weitert worden sei. Ein Problem für die Anölyse sei 
os, wenn dor Ursprung eines Angriffes aufgrund 
fohlender Protokolldaten nicht nachvollzogen wer¬ 
den könno. Boispiclswciso soi der erste Einbruch 
avif die französische Sonderkolte TVoMonde zwei 
Monate vor Entdeckung des Angriffes orfolgt. Die- 

ses könne nur über eine umfangreiche Protokollic- 

luug noclwollzogcn werden. 

Im Einsatz seien vonseiten des BSI nun auch Ex¬ 
perten. welche auch den IVBB schützten. Diese Fo- 
rensiker setzten nun aus beobachteten Phänome¬ 
nen ein Bild zusammen, um Ursachen und weitere 
Maßnahmen zu ermitteln. Auch seien bereits End- 
systeme neu aufgesetzt worden, die als befallen 
identifiziert werden konnten. 

Der Nachweis und die Anolyse seion durch die Be¬ 
schränkung auf sieben Tage Protokollierung sehr 
ambitioniert. Angriffe diosor Qualität seien in Pa¬ 
kete Hufgeieilt, welche einzeln harmlos oussfthen. 
Erst in einer gesamton Kettebotrechtet sei zu erken¬ 
nen. was wirklich passiere. 

Herr Hange (BSI) betont noch einmal, doss man 
nach den aktuell vorliegenden Erkenntnissen da¬ 
von ausgeben müsse, dass das Netz großflächig und 
umfangreich kompromittiert sei. Schutzmaßnah¬ 
men griffen z. B. nur noch eingeschränkt. Eine ab¬ 
solute Sicherheit hinsichtlich Informationsabfluss 
könne daher nicht garantiert werden. Es seien wei¬ 
tere Analysen notwendig, um zu entscheiden, ob 
durch Neuinstallaliun einzelner betroffener Sys* 
lerne, von Teilen der Infrastruktur oder des Ge- 
samtnelzes eiue wirksame Bereinigung dos Ge¬ 
samtsystems erreicht werden könne. 


Grob könne der Ablauf in drei Phasen aufgeteilt Response in 
werden: In der /Ersten Phase werdo oino technische phases: 

Analys e ersteig. Diese brauche erfahrungsgemäß i. technicai 
Zeit, dp^der analytische Aufwand sehr hoch s ei. In anaiysis, ver y 
oiner/zweiton Phase sei geplant, den i . : T: ; la bour intensive 
nen Möglichkeiten zu behindern und oinzugrenzo n 2: Start making 
und befallene Systeme zu bereinigen, ln djfr dritten d±?f°cuit for 
Phase sei dann die NeuinstaDation von Teilen dos adversary 
System s odc. .i ^ 

Die Vorsitzende erteilt dem Abg^llr. Brandl das install parts of 
Wort für Nachfragen. the s y stem or 

v all of it 

Abg. Dr. Brand) zeigt Verständnis für die einge¬ 
schränkte Kommunikation in dieser Situation, um 
den Tötern keine Hinweise zu geben. Er bemängelt 
jedoch kommunikative Defizite am Freitag, dem 
15.5.2015, an dem alle Rechner im Bundestag her- 
untergefahren worden seien. Der kurze und einzige 
Hinweis, doss der Rechner in einer Minute herun- 
tergefuhren werde, soi nicht ausreichend. Eine Vor* 

Warnung in solchen Fällen, etwa von 5 Minuten, 
sei wünschenswert. 

Er bemängelt weiterhin eine nicht ausreichende In¬ 
formation der Mitglieder der luK-Kominission. Er 
habe bis zur heutigen Sitzung alle Informationen BSI reports TV5 

nur dor Presse entnommen. Er verweist darauf, attack in France 
dass der Entschluss zur Reduktion der Protokolle Ionths d before 
rung auf siobon Tago sicher gute Gründe gehabt discovery. 
habe, dass man aber auch daxstellen sollte, welche 
Analysemöglichkeiten im Falle eines solchen An¬ 
griffes dadurch verloren gingen. 

Die Vorsitzende erteilt der Abg. Dr. Sitte das Wort. 

Abg. Dr. Sitte bestätigt, dass auch.aus ihrer Sicht 
die Kommunikation schwierig gewesen sei. Sie 
regt an, sich in diesem Gremium über die erforder¬ 
lichen und angemessenen Kommunikntions- 
schritte zu einigen. Eine zeitnahe Information der 
Mitglieder des Deutschen Bundestages halte sie für 
dringend geboten, um der Gerüchteküche entge¬ 
gentreten zu können. Dieses sei auch sinnvoll, um 
eine einheitliche Informationspolitik gegenüber 
Vertretern der Medien zu ermöglichen. Sic betont, 
dass es gerade in dieser ersten Phase dor Analyse 
hilfreich soi. in eine geregelte und regelmäßige in¬ 
terne Kommunikation cinzutrcton. 

Sio führt aus, dass einer der bisher betroffenen 
Rechner sich ln einem Abgeordnetcnbüro ihrer 
Fraktion befände. Es seien bereits vor dem doku¬ 
mentierten Fund aus dem betreffenden Abgeordne* 
tonbüro Auffälligkeiten vermeldet worden. Diese 
halten allerdings nicht auf ein solches Ereignis hin¬ 
gedeutet. Den weiteren Verlauf der Ereignisse 
könne sie bestätigen. Die Abgeordnete fragt, ob 
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Fremdgeräte eine physische Verbindung zum Bun¬ 
destagsnetz gehabt hätten. Zusätzlich bittot 6ie um 
Erläuterung* ob bereits Erkenntnisse Vorlagen, um 
welche Schadsoftware es sich handele und ob oih 
Programm oder mehrere verantwortlich seien. Wei- 
tor möchte sie wi$$on, ob es sich bei der Software 
um eine spezielle Version für den Bundosteg han¬ 
dele oder ob diese bereits früher beobachtet wor¬ 
den sei. Sie bittet zudem um Informationen, über 
welches Schadpotential das Programm verfüge und 
welchen Funktionsumfang es habe. Dos Weiteren 
fragt Abg. Dr. Sitte, ob der Angriff noch andauere 
und bittet um Informationen, welche Planungen cs 
bereite für eine Bereinigung des Gesamtsystems 
gäbe. 

Abg. Klingbeil erläutert, dass er im Kollogenkreis 
ein gewisses Maß an Verunsicherung registriert 
habe. Er bittet Herrn Hange fBSI) um nähere Erläu¬ 
terung. ob es im Zusammenhang mit dem NSA-Un- 
tersuchungsausschus8 Hinweise gäbe, dass ein Da- 
tenabfluss stattgefunden habe. Er stellt ebenfalls 
die Frage, um welche Art von Firma es sich han¬ 
dele und worin deren spezielle Expertise bestehe, 
die im BSI offensichtlich nicht vorhanden sei. For- 
ner möchte er wissen, ob es Erkenntnisse über den 
Zeitpunkt des ersten Zugriffs gebe. Er bittet um 
oino detailliertere Erläuterung, wie es zur Entde¬ 
ckung des Angriffes gekommen sei und wie der von 
Abg. Dr. Sitte angesprochene Fall zu bewerten sei. 
Er fragt, ob es theoretisch vorstellbar sei, dass der 
Angriff seit einem Jahr andauere, ohne entdeckt 
worden zu sein. Im Weiteren bittet er um Aufklä¬ 
rung. wie der Verfassungsschutz parallel zu den Er¬ 
kenntnissen gekommen sei und welcher Art diese 
Hinweise soion. Er bittet um Aufklärung, was unter 
dor Formulierung ..Umfassend kompromittiert“ im 
Bericht von Herrn Hange (BSI) zu verstehen sei. 
Darüber hinaus bittet er um oine Erläuterung zu der 
Meldung, dass ein Geheimdienst in den Angriff in¬ 
volviert sei und wie ein Zeitplan zur Bewältigung 
der Krise aussähe. 

Abg. Lemke bestätigt die Einschätzung, dass dieser 
Angriff als sehr ernst ein zu stufen sei. Sie lobe aus¬ 
drücklich die Kommunikation vonsciten der Buii- 
destogsverwaltung. Sie werde sich nicht on den na¬ 
heliegenden Spekulationen zu den Quellen der in 
den Medien kursierenden Gerüchten beteiligen. 
Allerdings seien in einem Artikel sogenannte Si- 
chorhoitskroise zitiert worden. Da diese weder die 
Bimdestagsverwaltung noch der Bundestag sein 
könne, stello sich dio Frage, inwieweit Herr Hange 
(BSI) das Kommunikationsverhalten seiner Mitar¬ 
beiter und der beteiligten Firma im Griff habe. Sic 


regt daher au. die Informationen zuerst an die Mit¬ 
glieder des Deutschen Bundestages zu geben, bevor 
die Presse informiert werde. Eine andere Vorge¬ 
hensweise halte sie für nicht akzeptabel. Sic sei zu¬ 
dem sehr daxan interessiert, dass das in diesem 
Vorgang vorhandene Leck aufgedeckt werde. Sie 
bittet um eine Erläuterung, wie und in welcher 
Form der Verfassungsschutz am 12.5.2015 bemerkt 
habe, dass Rechner des Bundestages auffällig ge¬ 
worden seien. 

Des Weiteren interessiere sie sich dafür, wie die 
Zusammenarbeit zwischen Bundestagsverwaltung 
und ÖS! organisiert sei und für Axt, Umfang und 
Rolle der Unterstützung des DSl durch eine externe 
Firme. Sie fragt außerdem nach den personellen 
Ressourcen, die vonseilen des BSI zur Verfügung 
gestellt würden und wie die Aussage, dass die Si Lars K iin g beii 
cherhoit nicht garantiert werdon könne, zu verste ( SPD ) is asking 
hen sei. Weiter regt sie an, die Mitglieder des Deut- sharp questlons 
sehen Bundestages entsprechend zu informieron. what Company? 
Die Vorsitzende erläutert, dass verschiedene Fach¬ 
ausschüsse Interesse bekundet hätten, sich mit that lli ca 7't? 
dem Themo zu beschäftigen, ln Absprache mit den 
AuSschussvorsitzcnden und den Fraktionen soi breach begin? 
vereinbart worden, dass die Fachausschüsse die je¬ 
weiligen BericHtsanträgc zurückstellen und die 
luK-Komitiission das oktuel) erste und einzige Gre¬ 
mium soi, dos sich mit dem Angriff befasse. Sie 
schlägt vor, dass die Fragen zunächst, soweit mög¬ 
lich. von Herrn Möhlmann beantwortet würden 
und Herr Hange anschließend die Antworten er¬ 
gänze. 

Herr Möhlmann (RL IT S) stimmt den von Abg. Dr. 

Brandl festgestellten Einlassungen zu. Er teilt mit. 
dass es sich beim angesprochenen Herunlerfahrcn 
der Rechner um eine in der UA IT abgestimmte 
Maßnahme gehandelt hoho und zunächst geprüft 
worden sei, wann diese möglichst stömngserrn 
durchgeführt werden könnte. Weiterhin führt er 
aus, dass es schwierig gewesen sei, zu diesem Zeit¬ 
punkt noch ailc Betroffenen zu erreichen und dass 
eine E-MaiMnformation als nicht unbedingt ziel- 
führond angesehen worden soi. 

Auf die Frage der Abg, Dr. Sitte nach dem Zusam¬ 
menhang mit einem Rechner einer Abgeordneten 
und einem Server ihrer Fraktion teilt Herr Möhl¬ 
mann (RI. IT 5) mit. dass die Bundestagsverwal¬ 
tung dazu keine Auskunft gobon könno und dies 
mit der betreffenden Fraktion diskutiert worden 
sei. Abg. Dr. Sitte wirft korrigierend ein, dass sic 
klären wolle, warum die IT nicht bereits tätig ge¬ 
worden sei. als das Abgeordnctenbüro sich wegen 
Auffälligkeiten schon zuvor an die IT gewandt 
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höbe. Herr Möhlmann (RI. IT 5) stellt klar, dass er 
hiervon keine Kenntnis bekommen hebe und der 
Angriff genauso aufgefallen sei, wie er es darge¬ 
stellt habe. 

Auf die Frage bezüglich Fremdgeräten antwortet 
Herr Möhlmann (RL IT 5), dass sich ausschließlich 
Porlakom-Geräte und selbstverständlich Frnktiong- 
geräte im Netz befänden. Fremdgeräte im Sinne 
von Gorätoo, die nicht in das Bundestogsnetz ge¬ 
hörten, gäbe es daher nicht 

Abg. Dr. Sitte stellt klar, dass sie dies wisse und C3 
ihr darum ginge, ob aufgrund der Schudsoftware 
der Zugriff von Fremdgeraten möglich gewesen sei 
oder ob dies ausgeschlossen werden könne. 

Herr Möhlmaiui (RL IT 5) verweis bzgl. dor Fragen 
zu den speziellen Schaf!Programmen auf Herrn 
Hange (BSI). 

Abg. Klingheii möchte wissen, seit wann der An¬ 
griff bekannt sei. 

liorr Möhlmann (RL IT 5) informiert, dass 0JH 
8.5.2025 die Mitarbeiter der Unterabteilung IT Un¬ 
regelmäßigkeiten festgestellt hoben, die zu diesem 
Zeitpunkt noch nicht als Angriff gewertet wordeQ 
seien, sondern ata alltäglicher Fall im Zusammen¬ 
hang mit Viren und Trojanern. Erst das Cospräch 
mit dem BfV um 12.5.2015 habe verdeutlicht, dass 
es sich um einen Angriff handele. Das BfV hatte 
deutlich gemacht, dass der Zugriff von zwei Rech¬ 
nern aus dem Bundestag festgestcllt worden sei, 
Diosc Rechner seien namentlich benannt worden 
und hätten somit als Bundestagsrechner identifi¬ 
ziert werden können. In diesem Gospröch sei auch 
mitgetcilt worden, dass das BSI seitens des Verfas¬ 
sungsschutzes informiert werde, speziell das Cy¬ 
ber ab wehrzenlru in. 

Abg. Lemke erkundigt sich, wos genau der Verfas¬ 
sungsschutz festgestellt hebe. 

IIoit Möhlmann (RL IT 5) führt aus, dass ihm tele¬ 
fonisch mitgetoilt worden sei, dass von zwei Rech¬ 
nern aus dem Dundestagsnelz auf kompromittierte 
Seiten, die überwacht worden seien, ein Zugriff 
staltgefunden habe. Er erklärt, dass kompromit¬ 
tierte Seiten z. B. sog. Command-end-Control-Ser- 
ver seien, die im Internet existierten, um Malware 
zu verteilen und auch „Angriffssoftware" enthiel¬ 
ten. 

Herr Häger (BSI) führt ergänzend aus. dass das BfV 
diese speziellen Informationen von einer Firma bo- 
kommen habe, wolch o von einem anderen Land be¬ 
auftrag t worden und an die Verschwiegenheit ge- 



weis weitergegeben werden dürfe. 


Herr Hange (BSI) stellt klar, dass das BSI nur für 
die technische Analyse zuständig sei und in die¬ 
sem Zusammenhang auch Server im Internet fest- 
stelle, die Schadprogramme verteilen oder für In- 
formeUonsabfluss genutzt werdon. Für das Kegie- 
mugsnetz seien viele solcher kritischen Server ge¬ 
listet und so auch der Server, mit dem dor Bundes¬ 


tagsrechner in Kontakt stand. Er betont dass es 
keine Überwachungsmaßnohme des Bundestages 
gewesen sei, sondern es sich um einen ZufaJlsfund 
gehandelt hohe. Aufgrund der technischen Zustän¬ 
digkeit sei dann das BSI vom BfV informiert wor¬ 
den, weil auch die Bundesregierung hätte betroffen 
sein können. Das BSI übernehme grundsätzlich 
eine beratende Funktion beim Bundestag. Die Ko¬ 
ordination der aktuellon Maßnahmen läge aus¬ 
schließlich beim Bundestag. Herr Dr. Winterstoin 
habe aufgrund der Schwere dos Angriffes alle ver¬ 
fügbaren Experten zur Aufklärung des Sachverhal¬ 
tes engofordert. 

Abg. Lemke erkundigt sich, wer die Erlaubnis er- 
toilt habe. 

Herr Heuige (BSI) stellt klar, dass das BSI keine 
nachrichtendienstlichen Beobachtungen durch¬ 
führe und schlägt vor, beim DfV zuständigkcitshal- 
ber nachzufragen, da das BSI auch nur Empfänger 
dor Information geweson sei. 

Er betont, dasß es wichtig sei, bei der Analyse 
schnell zu handeln. Daher sei am Frcitog mit der 
Voruntersuchung begonnen und dann entschieden 
worden, massiv in die Untersuchung einzusteigen. 
Er führt aus, dass Spuren schnell verloren gehen 
konnten, worin nicht kompakt oingegriffon wurde; 
Es habe bislang festgestellt werden können, doss 
aktuell nur wenige Endsysteme betroffen seien. Die 
Angreifer seien jedoch so tief in das Netz einge¬ 
drungen, dass sic Jederzeit wieder aktiv werden 
könnten. Momenten wurde nun versucht, die Wege 
nach außen zu blockieren und dom Angreifer das 
Agieren so schwer wie möglich zu machen. Es han¬ 
dele sich um oin auch an anderer Stelle bereits ver¬ 
wendetes und öffentlich bekanntes Angriffsmuster, 
sodass noch keine Rückschlüsse auf die Toter ge¬ 
zogen werden könnten. Professionelle Angreifer 
bedienten sich häufig verschiedener AugnffsmuS- 
tcr, um falsche Fahrten zu legen, was einen Rück¬ 
schluss auf die Täter erschweren solle. 

Herr Hange (BSI) versichert, dass das BSI nicht von 
sich 8US die Öffentlichkeit informiere. Es sei viel¬ 
mehr üblich, dass das BSI den jeweils Betroffenen 
unterrichte und dieser dann entschoidcn könne, ob 
dio Öffentlichkeit informiert werde. Er unier- 
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streicht, dass dieses Vertrauensverhältnis Grund¬ 
voraussetzung für die Arbeit dies BSI sei. Die Pres- 
someldungen stimmton zudem in Teilen nicht. So 
träfen beispielsweise die Nachrichten, dass es sich 
um einen DDoS-Angriff handele, nicht zu. Er fuhrt 
ergänzend aus, dass mit Informationen zu Cyberan¬ 
griffen auf Firmen und Behörden auch deshalb ver¬ 
traulich umgegangen werde, damit diese nicht 
durch PresscveröffentlichuDgen zusätzliche Schä¬ 
den erleiden würden und zusätzlich der Angreifer 
gewarnt werde. 

Bezüglich der Frage nach den vorhandenen Res¬ 
sourcen teilt er mit, dass es im BSI etwal5 Perso¬ 
nen mit Expertise für solche Analysen gäbe, die für 
den Schutz des Regierungsnetzos eingesetzt wür¬ 
den. Aus Erfahrung in ähnlich gelagerten Fällen 
gehe er davon aus, dass die Bearbeitung von An¬ 
griffen dieser Qualität über Wochen, wenn nicht 
Monate andauorten. Deshalb habe das BSI auch 
eine Fochfirma, die euch unter der Ceheimscliutz- 
betreuung stehe, hinzugezogen. Dabei sei darauf 
geachtet worden, dass diese Firma kompetent und 
auch vertrauenswürdig sei. um das Thema natio¬ 
nöle Sicherheit ausreichend zu berücksichtigen. Es 
gäbe Firmen im BSI - Umfeld, die sich durch Kom¬ 
petenz sowie Geheiinschutzbetreuung ouswiesen, 
mit denen das BSI insbesondere aus Ressourcen- 
gninrion aber auch in Bündelung von Fechkompo- 
tenz bei Cyberongriffen außerhalb der ßundesver- 
woltung zusammenarbeite. 

Anschließend beantwortet Herr Hange (BSI) die 
Frage von Abg. Klingbeil und teilt mit, dass nach 
momentanem Stand der Untersuchungen noch 
nicht festgeslellt werden könne, wann der Erstein¬ 
bruch erfolgt sei. Aufgrund der Art der Angriffe 
könno gosegt worden, dass es sich um einen söge 
nannten APT-Angriff (advanccd persistent thrcat) 
handele. Dieser verlaufe mehrstufig. Dos BSI gehe 
devon aus. dass solche Angriffe bis zu 70 Tage in 
Anspruch nehmen, um ein Netz komplett zu 
durchdrungen und damit schrittweise zu überneh¬ 
men. Habe sich der Angreifer iin Netz schließlich 
festgesetzt, könne er sich offen bewegen,, weil er 
dann wisse, dass er hochwahrscheinlich nicht ent¬ 
fernt werden könne. 

Zur Frage hinsichtlich der Sicherheit teilt Herr 
Hange (BSI) mit. dass versucht werde, alle Über¬ 
gänge, au denen Informationen abfließen könnten, 
zu kontrollieren und ggf. zu blockieren. Dabei 
werde jeder Schritt mit der Bundestagsverwaltung 
abgestimmt Durch Maßnahmen wie dem Herun¬ 
terfohren von Systemen würde versucht, für den 
Angreifer Ansatzpunkte obzubauen. Weiter führt 


Herr Hange (BSI) aus. dass dos BSI alle Maßneh¬ 
men und Funde dokumentiere, um die Analyse 
euch für die IT-Expcrtcn des Bundestages nach¬ 
vollziehbar und transparent zu machen. 

Auch an der TaterfoststelJung werde im Rahmen 
der technischen Analyse gearbeitet, was seiner An¬ 
sicht nach grundsätzlich schwierig sei. da es selbst 
in der professionell arbeitenden kriminellen Szene 
Verschleicrungalechniken gäbe. Zunächst gehn cs 
darum zu ermitteln, was genau geschehen sei und 
in welchen Systemen sich der Angreifer befinde. 
Wenn Endsysteme mit sensiblen Informationen in¬ 
fiziert seien, würden diese bereinigt, um den Ex¬ 
port von Dolen zu verhindern. 

Hen* Hange (BSI) führt weiter aus, dass auch die 
Übergänge der Bundeslögsverwoltung und der 
Froktioncn in die Untersuchungen einbezogen 
werden müssten, um das Übergreifen von Schad- 
Programmen in den Griff zu bekommen. Er teilt 
weiter mit, dass nach dem Stand der Untersuchun¬ 
gen insbesondere der zentrale Verzeichnisdienst 
übernommen worden sei. Somit habe der Angreifer 
prinzipiell Zugriff auf alle Zugangsdaten der Frak 
tionen. Abgeordneten und ßundestegsmitarbeitcr. 
die von diesem Verzeichnisdienst erfosst seien. 

Zur Frage, wie eine solche Übernohmc passieren 
könne, stellt Herr Hange (BSI) dar, dass für profes- 
sionollo Angreifer mit tiefgreifenden Kenntnissen 
der Software-Systeme die Möglichkeit bestünde, 
noch unbekannte Schwachstellen zu entdecken 
und zu missbrauchen. Selbst sehr gute Software 
enthalte immer noch 0,7 Promille Fehler. Das Ge¬ 
schäft mit dom Handeln von Schwachstellen sowie 
Schadprogrammen verspreche viel Geld, so dass es 
nicht erstaunlich sei. dass Hackergruppen inzwi¬ 
schen auch ihre Dienste für Cyborangriffo im Inter¬ 
net anbieten würden. Unter Wahrung aller Verlrau- 
lichkeitsaspekte sei es sehr wichtig, schnell zu er¬ 
kennen, was passiere, um die Angriffsmethodik 
aufzudeckon. don Export von Informationen zu un¬ 
terbinden und dann eine Neuaufsetzung des Sys¬ 
tems anzugehen. Jeder dieser Schritte werde selbst¬ 
verständlich mit der Bundestagsverwaltung abge- 
sprochen. 

Die Vorsitzende stellt die Frage, ob die Hinweise 
zuträfen, dass in den besonders sensiblen Berei¬ 
chen wie NSA-Ausschuss, Innonausschuss oder 
der PKGR oin Einbruch stattgefunden höbe und 
welche Maßnahmen dort getroffen worden seien, 
um Datenobflüsse zu verhindern. 

Abg. Lemke stellt eine Frage zu den Ausführungen 
von Herrn Möhlmsnn (RL IT 5) sunt zeitlichen Ab- 
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lauf der Information vom Bundesamt für Verfas¬ 
sungsschutz und dem BSI, Hier interessiere insbe¬ 
sondere, wer, wann. won. worübor informiert hBbo. 
Sie fragt Herrn Hange (BSI). ob das BSI vom Verfas¬ 
sungsschutz informiert worden sei, unabhängig 
von der Information durch dio Bundestagsverwal- 
tung. 

Abg. Dinding fragt, auf welchen Rechnern oder 
Systemen Administratorrechte erlangt worden 
seien, tun einen Eindruck zu gewinnen, welche 
Reichweite das Problem habe und welcho Möglich¬ 
keiten dem Angreifer im System eröffnet wurden. 
Abg. Lemke stellt die Frage, ob es aus Sicht des BSI 
sinnvoll sei, die Spcicherfrislen der Protokolldaten 
wieder zu verlängern und welcher Zeitraum ggf. 
hier für sinnvoll erachtet würde. Weiter fragt sie. 
ob die Speicherung von IP-Adrcsscn, die im Zuge 
der Vorretsdatenspeicherung auch diskutiert 
werde, eine Möglichkeit 3ei, die Täter zu entde¬ 
cken. Zudem regt sie an, das Bundesamt für Verfas¬ 
sungsschutz in die luK-Kommission einzuladen. 
Abg. Dr. Sitte stellt fest, dass der Bundestag die Fe- # 
derführung bei der Untersuchung des Angriffes ha¬ 
ben müsse. Sie stellt weiterhin dio Frage, ob aktuell 
die Liickenschlieöung oder die Analy$e des Angrif¬ 
fes irn Vordergrund stünde. In diesem Zusammen¬ 
hang möchte sie wissen, ob in diesem Fall schon 
jemand Anzeige erstattet habe. Des Weiteren bittet 
sie um ErlÜütcrung. init welcher personellen Aus¬ 
stattung, insbesondere unter Beteiligung der exter¬ 
nen Firma, in Zukunft vorgegangen werden solle, 
ob die sofortige Abschaltung aller Ressourcon dis¬ 
kutiert worden sei. warum dieses unterlassen wor¬ 
den sei und welche Konsequenzen es für den Neu¬ 
aufbau habe. 

Abg. Knstcr merkt an, dass er Verständnis dafür 
habe, wie anhand des Suchstandes mit der Kom¬ 
munikation umgogangon worden sei. Er bitte je¬ 
doch darum, auch in dieser Phase dein Informati- 
onsbedürfnis der Abgeordneten nachzukommen. 

Die Vorsitzende bittet Herrn Hange (BSI) um Beant¬ 
wortung der Fragen. 

Herr Hange (BSI) teilt mit, dass dies nicht der erste 
Fall sei. der gemeinsam mit der genannten Firmo 
bearbeitet werde. Erkennbar seien bereits gewisse 
Angi'iffsstrukturon und cs sei daher zielführend, 
versierte Fachkräfte - d. h. IT-Forensiker - damit 
zu betrauen. Er betont noch einmal, dass cs unver¬ 
zichtbar sei. die hochqualifiziertem Experten sei¬ 
tens des BSI zu beteiligen. Dios sei umso schwieri¬ 
ger. als der Analyseprozess durchaus mehrere Wo¬ 
chen anduuern könne. Die personelle Ausstattung 


des BSI in diesem Umfeld betrage etwa 15 Fach¬ 
leute sowie Ressourcen aus der unterstützenden 
Firma, die - wenn der Bundestag das wünsche - 
zur Verfügung stündou. 

Abg. Lemke möchte wissen, ob die 15 Fochleute 
zeitglcich orbci.tcn würden 

Herr Hange (BSI) teilt mit, dass dies nicht der erste 
Fall sei und bei Untersuchungen vor Ort Schicht¬ 
wechsel vorgenommen würden. Die erste Mann¬ 
schaft habe am letzten Wochenende gearbeitet. Da¬ 
nach soion einige Mitarbeiter aus dem verlängerten 
Wochenende zuruckgehult worden, die dann in 
Bonn weiter gearbeitet hotton. Er woist nochmals 
darauf hin. dass er auch den Schutz des Regie- 
rungsuetzes nicht völlig vernachlässigen könne. Br 
stellt klar, dass in Absprache mit dent Deutschen 
Bundestag alles getan werde, um seitens des BSI 
die Personen mit dem größtmöglichen Erfahrungs¬ 
schatz in diesem Umfeld mit der Aufgabe zu be¬ 
trauen. Er informiert, dass der externe Partner in confirms bfk 


diesem Fell die Firma BFK sei und da99 bei Bedarf Te i e kom 
auch Mitarbeiter der Firmo Telekom, die ebenfalls apparently has 


über ein Team mit ähnlichen Kenntnissen verfüg 
teil, hinzugezogen werden könnten Im Augenblick 
sehe or jedoch koino Notwendigkeit hierfür. 

Herr Hange (BSl) betont noch eiumal. dass os nur 
durch die Erkenntnisse uns der Analyse möglich 
sein werde, dem Angreifer den Weg zu verbauen. 
Die Angreifer hatten sich bereits tief in den Syste¬ 
men verankert und würden sich inzwischen sogar 
recht auffällig bewegen, da sie aus Erfahrung nicht 
mohr fürchten müssten, mit einfachen Mitteln ent¬ 
fernt werden zu können. 

Grundsätzlich sei ein Angreifer in einer besseren 
Position als der Verteidiger, da er den Angriffs¬ 
punkt selbst bestimmen könne. Weiter führt er aus. 
dass der gesamte Vorgang dokumentiert wordo. Im 
konkreten Fall sei der Bundestag vom Bundesamt 
für Verfassungsschutz augerufen worden und es sei 
mitgeteilt worden, dass auch das BSI informiert 
werde, da prinzipiell nicht uuszuscblieöen sei, 
dass auch Regierungsstellen betroffen seien. Im 
weiteren Verlauf zwischen Bundestag und USl sei 
entschieden worden, dass zwei Mitarbeiter des BSI 
am Freitag, dem 15.5.2015 im Bundestag in einem 
ErstgesprÖch über die möglichen weiteren Schritte 
informierten. Kurzfristig sei aufgrund der Bespre¬ 
chung dann beschlossen worden, unverzüglich am 
Wochenende mit der tiefer geltenden Analyse zu 
beginnen. 

Abg. Lemke frogl weiter noch den vom Verfas¬ 
sungsschutz festgesiellten Auffälligkeiten. 
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Herr Hange (BSI) teilt mit. dass oin Server auffällig 
geworden sei. welcher auf einer Usto als kritisch 
eingestufter Server stehe. Oie Rückmeldcmöglich- 
keiten dieser bokannten Server wurden vom DSJ 
unterbunden. Im technischen Bereich sei dies ein 
transparentes Vorfahren ohne nochrichtendienstli- 
che Hintergründe. Er führt aus. dass es einen welt¬ 
weiten CERT-Verbund zum Austausch von genau 
solchen kritischen Hinweisen ohne nachrichten- 
dienstlichen Hintergrund gebe. Ein Informations¬ 
austausch zwischen dem BSI und dein Bundesamt 
für Verfassungsschutz erfolge nur dann, wonn der 
Verdacht von Cyberspionage fremder Staaten gege¬ 
ben sei. 

Abg. Dr. Brand) erklärt, doss er zwar Verständnis 
für Hie Nachfrage zum Verfassungsschutz habe, es 
aber genau Aufgabe des Verfassungsschutzes sei, 
elektronische Angriffe mit möglicherweise nach- 
richtendienstlichem Hintergrund auf dio Bundes¬ 
republik festzustollen und die betroffenen Behör- 
den zu informieren. Er verdeutlicht seine Ansicht, 
dass der Verfassungsschutz auch nach einem Hin¬ 
weis eines ausländischen Anbieters - sei es Staat. 
Firma oder CERT - unverzüglich zu informieren 
habe, wenn eus dem Bereich eines Regiemngsnet- 
zes oin Zugriff auf einen kompromittierten Server 
festgestellt werde. Er betont, dass er positiv zur 
Kenntnis nehme, dass diese Moldewege funktio¬ 
nierten. 

Abg. Klingbeil fragt noch, ob die Art und Weise der 
Angriffe dem BSI als Muster bekannt seien und es 
hierfür bereits bekannte Akteure gäbe, lind ob es 
sich hierbei um Geheimdienste oder Unternehmen 
handelt, die von Staaten für solche Angriffe beauf¬ 
tragt werden würden. 

IteiT H äuge (BSI) stellt dor, dass es sich bisheriger 
Kenntnis noch um Gruppierungen handele, die 
nicht dos BSI beobachte. Wenn technische Analy¬ 
sen Rückschlüsse auf Totergruppon zulassen, sei es 
Aufgabe des Cyberabwohrzentrums, beim BfV, 
BKA oder BND nachzufragen, ob mehr zu diesen 
Gruppierungen bokannt sei. Er erklärt, dass die 
Einschätzung der Fähigkeiten des Angreifers auch 
entscheidend dafür sei. um die notwendige Ab¬ 
wehr einzuordnen. Er macht noch einmal doutlich. 
dass oin Angriff in dieser Form nicht zum ersten 
Mol erfolge und die Weitergabe von Hinweisen on 
die betroffenen Firmen oder Behörden in festgelep- 
ter Weise erfolge. 

Abg. Klingbei) fragt nach, ob das Muster des An¬ 
griffes als Mittel von Nachrichtendiensten bekannt 
sei. 


Herr Hange (BSD bejaht, dass dos Muster des An¬ 
griffes zwar bekennt sei. es aber dennoch nach jet¬ 
zigem Untcrsuchungsstand nicht eindeutig ninzu- 
ordnen sei. ob es von den vermuteten Akteuren 
durchgeführt oder einfach kopiert worden sei. Es 
sei in letzter Zeit auch fostgostolll worden. 
einfachere Angriffsmuster. die bislang bestimmten started 
Ländern und Gruppierungen zugeordne! wernnn imitating conraion 

features of 

konnten, nachgeahmt wurden. Das BSI beschatt lgCother known 
sich in seiner Schutzfunktion mit der Bokämpf\mg adversaries ' 
de» Angriffsmusters, mit der Tälerermiuliing 
im Rahmen technischer Analysen. Die Täterermitt .on the rise. 
lung sei Aufgabe der dafür zuständigen Sicher- 
heitsbohörden. 

Herr Hnger (BSI) ergänzt, dass es sich um ein gene 
risches Angriffßmuster handele und damit nach 
Stand der Untersuchungen einer konkreten T nter- 
gruppe noch nicht zugeordnet werden könne. Er er¬ 
klärt, dass nach jetzigem Erkenntnisstond der Täter 
mit soinom Schödprogramm in das Netz gelange, 
dort soine Rechte ausweite und den Verzeichnis¬ 
dienst übernommen habo. um dann auf beliebige 
Systeme Zugriff zu haben. Dieses entspreche einom 
hochwertigen APT-Angriffsmuster. 

Die Vorsitzende erläutert, dass entsprechend der 
Beschlusslage die Obleute am Wzten Mittwoch 
durch dos Sekretariat über ihre sintecheidung zut 
Verlängerung dor Speicherfrist von ursprünglich 
sieben Togen auf maximal drei Monate informiert 
worden seien. Sie merkt weiter an. dass es ihrer 
Einschätzung nach erst um Ende dieses ganzen Pro¬ 
zesses zu oinor erneuten Diskussion über die Spoi- 
chorfristen kommen könne. Sie bedankt sich im 
Namen der ganzen Kommission für die erhaltenen 
Informationen und schlögt eine erneute Sitzung für 
die kommende Sitzungswoche vor, 

Sie merkt an, dass am Nachmittag über den Ältes¬ 
tenrat dio Fraktionen in geeigneter Weise über den 
in der IuK-Koinmission vorgotragonen Sachverhalt 
informiert würden. Gngelnmenfells sei je nach Ent¬ 
scheidung des Ältestenrates noch in dieser Sit- 
zungswoche eine Ohlcuterunde einzuberufen. Sie 
gehe davon aus. dass dio Obleute der luK-Kommis 
sion auch in den kommondon Nichtsitzungswo 
eben in geeigneter Form vom Sekretariot über aktu¬ 
elle Entwicklungen informiert würden. Sie werde 
sich mit dem Präsidenten über eine abgestimmte 
Information für alle Kolleginnen und Kollegen ins 
Benehmen setzen. 

Die Abg. Lemke stimmt der Vorsitzenden in vollem 
Umfang zu. Sie bekräftigt, dass gerade in Anbe- 
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l/oclit der zwei Nichtsitzungswochen eine ellge- 
rneine Information für olle Mitglieder orfordorlich 
scheine. 

Die Vorsitzende stellt fest, duss sich die luK-Kom- 
mission über die kurzfristig erforderlichen Konu 
munikötionswege einig sei. De auch zum Punkt 


Verschiedenes keine weiteren Wortmeldungen 
vorlicgen, bedenkt sich die Vorsitzende bei den 
Vortrogenden und schließt die Sitzung. 



Schluss der Sitzung: 9:10 Uhr 


Petra Pau. MdB 
Vorsitzende 
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